Cụ thể, một nhóm các nhà nghiên cứu từ Đại học Chicago đã tìm ra cách hack vào các tai nghe Meta Quest, cho phép họ kiểm soát môi trường VR, đánh cắp thông tin và thậm chí thao túng tương tác của người dùng.

Các nhà nghiên cứu gọi đây là "cuộc tấn công inception" - một cuộc tấn công trong đó người dùng bị giam giữ trong một ứng dụng VR độc hại.

Theo nghiên cứu, để thực hiện cuộc tấn công, các hacker phải kết nối với cùng một mạng WiFi với người dùng Quest và người dùng phải bật "chế độ nhà phát triển" - một cài đặt mà người dùng thường bật để có thể tải xuống các ứng dụng, chỉnh sửa độ phân giải và chụp ảnh màn hình.

Từ đó, họ có thể cài đặt phần mềm độc hại vào thiết bị, cài đặt một màn hình chính giả mạo giống như màn hình ban đầu của người dùng, nhưng dưới sự kiểm soát bởi các hacker.

"Trong khi người dùng nghĩ rằng họ đang tương tác bình thường với các ứng dụng VR, nhưng thực chất họ đang tương tác trong một thế giới mô phỏng, nơi mọi thứ họ nhìn thấy và nghe thấy đã bị thay đổi và kiểm soát”, các nhà nghiên cứu cho  biết.

Các nhà nghiên cứu cũng đã tạo ra các bản sao của Trình duyệt Meta Quest và ứng dụng VRChat. Từ đó khi các phiên bản sao của trình duyệt được kích hoạt, họ có thể theo dõi người dùng truy cập vào các tài khoản cá nhân như ngân hàng hoặc email.

Họ không chỉ có thể nhìn thấy những gì người dùng đang làm, mà còn có thể thao túng những gì người dùng đang nhìn thấy.

Để minh hoạ, các nhà nghiên cứu mô phỏng một tình huống lừa đảo khi người dùng đang thực hiện giao dịch chuyển tiền. Trong khi người dùng cố gắng chuyển 1 USD, hacker có thể thay đổi số tiền thành 5 USD. Mặc dù đối với người dùng, số tiền vẫn hiển thị là 1 USD, kể cả trên màn hình xác nhận, nhưng thực chất giao dịch của họ đã bị can thiệp mà họ không hề hay biết.

Để kiểm tra xem người dùng có thể bị lừa dễ dàng bởi “cuộc tấn công inception” hay không, các nhà nghiên cứu đã thực hiện một thử nghiệm với 27 chuyên gia VR tình nguyện, yêu cầu họ sử dụng thiết bị VR trong khi các nhà nghiên cứu tiến hành cuộc tấn công. Kết quả của thử nghiệm cho thấy chỉ có một phần ba số người dùng nhận ra "sự cố" khi cuộc tấn công bắt đầu, còn lại cho rằng đó chỉ là một vấn đề bình thường về hiệu suất.

Franzi Roesner, một giáo sư kỹ thuật máy tính tại Đại học Washington cho biết không có cách nào để chắc chắn rằng những gì chúng ta thấy trong thế giới thực tế ảo là thực sự đúng, và tính hấp dẫn của công nghệ này khiến cho chúng ta càng dễ tin tưởng vào nó hơn. Điều này có thể khiến cho những cuộc tấn công như vậy trở nên nguy hiểm hơn bao giờ hết.

“Cuộc tấn công inception” mở ra nhiều cơ hội cho các hacker xâm nhập vào hệ thống thực tế ảo và lợi dụng người dùng, Ben Zhao, một giáo sư khoa học máy tính tại Đại học Chicago, chia sẻ. Tuy nhiên, do việc sử dụng thực tế ảo vẫn còn hạn chế, chúng ta vẫn có thời gian để phát triển những biện pháp phòng thủ mạnh mẽ hơn trước khi các thiết bị này trở nên phổ biến hơn, ông nhấn mạnh.

Sao Mai